Etterlyser mer risikoanalyse

Etterlyser mer risikoanalyse

Norsis tror mange norske bedrifter bryter loven uten å vite om det.

En undersøkelse fra Norsis viser at risikoanalyse ikke er spesielt godt prioritert blant landets bedrifter.

I løpet av de siste to årene har 36 prosent gjennomført risikoanalyse innenfor informasjonssikkerhet/it, viser undersøkelsen fra slutten av august.

For bedrifter med 1-20 ansatte er tallet 19 prosent. For dem med 21-100 ansatte har 41 prosent gjort dette, mens de flinkeste er bedriftene med over 100 ansatte, der 47 prosent har gjennomført risikoanalyse i løpet av de siste to årene.

Seniorrådgiver i Norsis, Tone Hoddø Bakås, mener tallene er altfor lave. Så lave at mange av bedriftene, trolig uten å tenke over det, faktisk bryter norsk lov.

- Det er en del lovverk som stiller krav til gjennomføring av risikovurdering, blant annet personopplysningsloven. De fleste bedrifter har jo i dag personopplysninger, for eksempel personalregister. Da blir selv 47 prosent litt lavt, sier hun.

Opplæring nøkkel til suksess

Når det gjelder ansatte med sikkerhetsansvar tror hun de store selskapene stort sett har ting på stell, men at det er litt verre i små- og mellomstore bedrifter. Der er sikkerhetsfokuset avhengig av kompetansen til dem som jobber der, og veldig få har en egen sikkerhetsansvarlig.

Hoddø Baksås har noen sikkerhetsråd hun gjerne vil dele. De aller fleste har antivirus, men det er ikke bare det som må til i dagens it-verden. Minst like viktig er det å oppdatere programvare.

- I snitt har en pc 65 programmer fra 20 ulike leverandører, så det krever litt å gjøre denne jobben. Uten sikkerhetsansvarlig er det fare for at det blir tilfeldig hva som blir gjort. Og da er det mulig noen lukker opp døren på gløtt for hackere, virusproblematikk, kjeltringer som vil snoke i dokumenter også videre, sier Bakås.

Hun mener også det er viktig å gi opplæring i informasjonssikkerhet.

- Hvis du ikke har en sikkerhetsansvarlig, har du kanskje ikke opplæring av ansatte heller. Men det er viktig at alle ansatte i dag er bevisste på hva som er trusselbildet og vet at det er lett å la seg lure. Tenk før du trykker, sier vi. Og uten opplæring er det lett å finne en som blir lurt, sier Bakås.

Hun peker på at selv direktøren kan gå på svindelepost, for eksempel ved å klikke på et uheldig vedlegg. Dermed kan hackeren for eksempel potensielt få tilgang til anbudsdokumenter. Og selge dem til konkurrentene, slik at konkurrentene alltid ligger litt under på pris.

- Still leverandørkrav

Videre understreker Bakås at sikkerhetskopi fortsatt er viktig, men at man også må være bevisst på hvor kopien lagres.

- Mange lagrer i skyen, og det kan jo være bra litt avhengig av hvilken type informasjon du har. Det er i alle fall viktig å vite hva som er avtalen med leverandøren, så du vet hva som skjer om uvedkommende bryter seg inn, sier Bakås.

- Dette gjelder også hvis du har utkontraktert noe annet innen it i bedriften. Du må tørre å stille krav til levarandøren. Selv om du ikke har kompetanse må du finne en sjekkliste for hva du bør spørre om og være klar på hva du vil ha. For eksempel når det gjelder oppetid, hvordan dataene skal sikres, om de skal krypteres og sånt, sier hun.

Mørketallsundersøkelsen for 2010 viser blant annet at 56 prosent av virksomhetene outsourcer helt eller deler av it-driften, men at få krav stilles. Det er stor tro til outsorcingsaktørens håndtering av sikkerheten, men lav fokus på kontroll, oppfølging eller sanksjoner ved mangler.

En tredjedel av alle norske virksomheter har blitt utsatt for datakriminalitet, men at bare cirka én prosent anmelder dette til politiet. Og bare en tredjedel har kontinuerlig opplæring av ansatte, og under halvparten har sikkerhetsopplæring av nyansatte.

Små og mellomstore bedrifter underrepresentert når det gjelder å ta i bruk en rekke sikkerhetstiltak, sammenlignet med store bedrifter. Sikringstiltak igangsettes også uten at nødvendige risikoanalyser er gjennomført. Virksomhetene prioriterer enklere teknologiske tiltak og ikke organisatoriske tiltak som opplæring.

I cirka halvparten av de avdekkede hendelser er det egne ansatte som er gjerningsmennene bak.

Oktober har for øvrig av Norsis blitt utpekt til nasjonal sikkerhetsmåned.

Les om: